[问题求助]关于iptabales做nat问题 [复制链接]

用iptables做nat. ,是否可以根据系统时间使能或非能nat.?健康

你指的是什么意思？是不是一段时间内启动IPTABLES，一段时间关闭IPTABLES呢？

[quote]原帖由 "zwei19"]用iptables做nat ,是否可以根据系统时间使能或非能nat?[/quote 发表：
    
需要下载补丁程序：http://www.netfilter.org/files/patch-o-matic-20030107.tar.bz2
再下载新的 iptables：http://www.netfilter.org/files/iptables-1.2.8.tar.bz2

按照安装说明对内核打补丁，从新编译内核，将：CONFIG_IP_NF_MATCH_TIME 选择上。即
Networking options  --->;下的
IP: Netfilter Configuration  --->;下的
<M>;   TIME match support (EXPERIMENTAL)项。
启用新的内核并编译新的iptables！

如此之后你就可以通过iptables命令来实现该规则在什么时候生效，什么时候无效了！

具体的实现步骤请访问：http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO.html

http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO-3.html#ss3.19

是的，比如下午4：00后关闭nat,也就是关闭数据的通过

呵呵，三楼兄弟的那个链接应该能帮上你的，去看看吧。
我的本意是通过crontab来控制iptables start或者stop。

[quote]原帖由 "zwei19"]只有1.2.8才支持此功能吗？1.2.7a是否支持？在安装了iptables的系统中，如何判断是否支持time patch?[/quote 发表：

收录到Linux2.4 内核中的netfilter不支持time match 功能，我们需要下载netfilter的扩展部分的补丁patch-o-matic-20030107.tar.bz2 对内核进行修补（该补丁要求Linux内核版本大于2.4.18，iptables版本大于1.2.7，所以1.2.7a 也可以）。

一定要先对内核打补丁，然后编译内核（当然，在进行内核设置时别忘了选择TIME match suport），最后还必须要对iptables进行编译。

启用新内核以后，你可以通过下面的命令来测试你的新内核是否支持time match。必须确保你使用的iptables命令是你在编译完内核之后编译的那个iptables。

iptables -A FORWARD -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri -j ACCEPT
表示周一、二、三、四、五的8：00到18：00允许转发。

编个脚本程序，配合crond效果不是很好吗？

干嘛搞得那么负责，那点DIY的精神出来嘛。